 放大圖片
■吳斌建議醫護人員在使用USB之前,應考慮是否有真正需要,及小心衡量其潛在風險。資料圖片
【本報訊】(記者 聶曉輝)一名聯合醫院護士去年遺失載有26名病人個人資料的USB閃存驅動器事件,個人資料私隱專員公署昨日發表調查報告指,院方未有採取可行措施,確保個人資料不被外洩,違反了《個人資料(私隱)條例》。公署認為,聯合醫院重複觸犯的風險低,沒有向醫管局送達執行通知。個人資料私隱專員吳斌指出,醫護人員可用內聯網代替USB,以減低遺失病人個人資料的風險及影響。
今年5月,醫管局轄下的聯合醫院爆出一名護士遺失載有26名病人個人資料的USB,公署在接獲病人投訴後展開調查。報告指出,該名遺失USB的護士起初把病人資料儲存在USB的密碼保護區內,將USB帶出醫院,再將新資料輸入總登記資料檔案中。報告指出,該名護士在去年10月中旬發現密碼保護區損壞後,改為將資料儲存在非密碼保護區內。同月20日,該名護士發現遺失了該USB,卻在接近3個月後(即今年1月17日)始向上級報告,其間改為以傳真或電子郵件儲存及傳送病人的資料。
私隱署指聯合醫院違例
該署考慮過所有相關情況後,認為聯合醫院違反了《個人資料(私隱)條例》當中「使用者須採取所有切實可行的步驟,以確保由資料使用者持有的個人資料受保障,而不受未獲准許的或意外的查閱、處理、刪除或其他使用所影響。」根據條例第50條,如專員認為資料使用者的違反行為有相當可能會持續或重複發生,可向該資料使用者送達「執行通知」,以改善處理個人資料的方法。然而,由於聯合醫院的職員已停止使用USB儲存及傳送病人資料,故公署沒有向醫管局送達執行通知。
吳斌建議醫護人員在使用USB之前,應考慮是否有真正需要,及小心衡量其潛在風險。他指出,資料使用者應提高職員對個人資料保障方面的意識及要求,並適時地檢討既有政策及內部指引。
聯合醫院回應稱,接納調查報告結果及建議,院方已向各員工提供有關使用USB的內部指引及使用程序。
|
放大圖片
